1.引言

近期，通過投放銀狐木馬病毒入侵公司電腦，從而冒充企業老板或客戶詐騙財會人員的“精準投毒”類電信網絡詐騙案件高發，造成相關企業巨大損失，為此，協會邀請了專家針對此類事件進行了分析，詳情如下：

2.什么是銀狐木馬

“銀狐”是一種惡意軟件，攻擊者通過微信、釘釘等聊天工具、釣魚郵件、釣魚網站傳播偽裝的惡意程序。攻擊者誘使受害者執行偽裝程序，最終下載遠控木馬，對受害者電腦進行控制，進而實施詐騙活動。

2.1銀狐進化簡史

當代“卷王”，6大版本持續升級：銀狐木馬是今年最“卷”病毒之一，在不到一年的時間里迭代6大版本，其在攻擊方式，攻擊組件部署方式，惡意樣本投遞方式上不斷升級，變化，與殺軟持續對抗。除此之外，銀狐木馬還使用白加黑、加密payload、內存加載等免殺手段，逃避殺軟檢測。

2.2 攻擊流程簡介

【銀狐V2.1-V2.3攻擊流程圖】

針對銀狐木馬的檢測，本質上是攻防的對抗。“銀狐”是一個已經被廣泛地去中心化傳播的黑產工具，任何攻擊者都可以獲取和使用，目前檢測到的活躍的且被公開的團伙多達5個，還有更多不知名或者未公開黑產在持續使用銀狐木馬。

基于近期捕獲到銀狐其中一個版本的源碼，而基于銀狐的攻擊也呈現出來如下特征說明其是工具而非團伙：

1.銀狐相關樣本變種之多、變化之快，是單個團伙無法做到的。截至目前為止，威脅狩獵到的家族變種已經超過5大類，就已經多達上千種細分子類型；

2.攻擊者資產之廣泛和分散，單個黑灰產團伙極難擁有如此龐大而分散的資產集合；投遞方式非常多樣，包括郵件釣魚、水坑、微信社工投遞木馬等，水坑攻擊中偽造的軟件多達數十款，包括但不限于軟件 WPS、PDF、CAD、qwbpro（企微寶）、微信、加速器、360模塊，壓縮軟件、PPT，美圖和向日葵軟件等。

3.銀狐木馬的特點

背后代表的是眾多活躍在東南亞為主地區的黑產團伙大小集團以產業化方式進行多組織分工運營，使得我們對抗的不再是單獨一個惡意程序，而是在與一個黑色產業鏈上的多個組織進行對抗。有專門研究抵抗殺毒軟件的組織，有專門進行傳播的組織，有專門進行詐騙的組織，參與人數眾多，尤其是詐騙小團伙數不勝數。他們瞄準特定行業或企業，采用釣魚攻擊為主，對金融、教育、設計、電商等各類型企事業單位進行滲透和破壞。

針對性極強。尤其是針對接觸大量財務交易的高價值受害者（老板、企業高管、財務人員等）。銀狐會偽裝成受害者常用的辦公軟件壓縮包、熱點新聞名稱、上級通知、財務發票文件、視頻圖片文件等，目的是降低受害者防范意識，誘使受害者執行惡意程序。

侵入后并不以破壞為目的，而以詐騙為目的進行駐留。

?通過控制社交賬戶或郵箱，再模擬受害者行為在公司內傳播木馬，以尋找高價值受害者。

?駐留的木馬實現截屏、錄屏、監控等方式，“觀察”公司財務轉賬及內部交流情況，伺機作案。

?實施的詐騙手段如：冒充領導要求公司財務人員緊急進行大額轉賬，最終使企業受到嚴重損失。

?如果“銀狐”木馬疊加“勒索”病毒，則企業的隱私數據、業務穩定運行均將受到破壞，將造成更大損失。

?詐騙團隊還會通過控制被害者社交賬號，對外發布不實的反動、色情等信息，以此來要挾受害者交出金錢等財物。

免殺抵抗的技術手段上，“銀狐”也會迷惑殺毒軟件的傳統檢測方式，惡意程序會通過“白加黑”、偽裝、混淆、代碼拼接，各種進程綁架注入、ShellCode執行等方法逃避傳統防病毒軟件的檢測。（如“白加黑”借助windows系統的正常接口加載惡意程序），一旦中招，銀狐木馬就會以無文件方式運行并持久化攻占客戶主機。

木馬惡意程序內包含監控受害者主機的手段非常全面，包括：

?主機全盤文件掃描、

?前/后臺運行軟件屏幕監控、

?播放音視頻監控、

?麥克風/攝像頭監控、

?鍵盤輸入監控、

?瀏覽器記錄密碼及訪問網站記錄監控、

?加密文件破解、

?遠程桌面控制等。

4.銀狐木馬如何防治

亞信安全策劃并推出了“獵狐計劃”，旨在通過一套全面且系統的安全策略，確保企業免受銀狐木馬的侵擾。

該專項行動將分為三個核心階段，以確保我們能夠從多個維度和層面出發，對銀狐木馬進行全面防范。

事前風險排查：在“銀狐”風險事件爆發之前，可以根據“銀狐”木馬的遠控特性，可以通過防毒墻監測DNS流量，結合MSS專家運營分析，檢測非法DNS查詢，判別網絡中是否存在”銀狐“風險，同時通過終端安全能力，清除風險，實現事前風險排查閉環。

事中應急處置：一旦發生“銀狐”風險事件，需要立即啟動應急響應機制。首先可以通過“銀狐”木馬專殺工具快速排查企業中已經存在的“銀狐”木馬；其次需要建立能夠持續監測、聯動處置的“銀狐”木馬治理能力，并結合MSS專家運營分析、溯源，可以形成對“銀狐”木馬識別、防護、檢測、處置等能力，長期有效應對“銀狐”風險。同時，對于提供“銀狐”防護能力的產品可以進行統一管理，統一策略下發等，并且支持可視化呈現“銀狐”風險的趨勢與態勢等。

事后全面加固：在成功應對“銀狐”木馬的攻擊后，需要通過終端安全和主機安全系統對企業的安全體系進行全面加固。這包括修復已知的安全漏洞、升級安全防護措施、加強安全培訓和意識教育等多個方面。我們的目標是確保企業在未來能夠更好地抵御類似的安全威脅，保障企業的財務、數據等核心利益不受損害。

通過“獵狐計劃”專項的實施，亞信安全將幫助企業構建一個更加安全、穩定的網絡環境，在亞信安全的專業護航下，企業可以避免“銀狐”木馬的侵擾，實現更加穩健的發展。

獵狐計劃總體措施圖

在廣東省公安廳的指導下，協會參與發起和運營廣東省網絡安全應急響應中心，以“情報+指揮+處置”三位一體為網絡安全應急處置模式；中心采取公益服務的方式，面向全省關鍵信息基礎設施、重要信息系統、高科技企業網絡，協助開展網絡安全事件應急處置、安全風險防范應對等工作。

來源：廣東省網絡安全應急響應中心